Am 7. März 2024 erließ der Vierte Senat des Gerichtshofs der Europäischen Union (im Folgenden „EuGH“) ein Urteil in der Rechtssache C-604/22 IAB Europe v Gegevensbeschermingsautoriteit
(im Folgenden „IAB Europe“), in dem er sich mit der Auslegung der Begriffe „personenbezogene Daten“ und „gemeinsame Verantwortliche“ im Sinne der GDPR-Regelung befasste.

Der EuGH hat beide Begriffe weit ausgelegt, sodass Verantwortliche und Verarbeiter personenbezogener Daten ihre internen Verfahren zur Verarbeitung personenbezogener Daten überdenken sollten. In diesem Artikel stellen wir Ihnen technisch interessante Details des IAB Europe Falls und wesentliche praktische Auswirkungen des Urteils auf Verwalter und Verarbeiter personenbezogener Daten vor.

Umstände des Falles

Die gemeinnützige Vereinigung IAB Europe veröffentlicht ein für ihre Mitglieder verbindliches Rahmenregelwerk, dessen erklärtes Ziel darin besteht, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Nutzer von den, von Vereinsmitgliedern betriebenen Websites oder Applikationen sicherzustellen. Die betreffenden Regeln enthalten auch spezifische technische Lösungen, Spezifikationen und Protokolle, die beim Verkauf und Kauf von Werbeflächen im Internet umzusetzen sind.

Eine der technischen Lösungen der IAB Europe-Vereinigung ist sog. Transparency and Consent String (im Folgenden „TC-String“) – eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge/Kette, die die verschlüsselten Präferenzen von Website- oder Applikationen-Nutzern hinsichtlich der Verarbeitung ihrer personenbezogenen Daten darstellt. Jede TC-String mit codierten Präferenzen wird anschließend mit am OpenRTB-Protokoll teilnehmenden Vermittlern für persönliche Daten und Werbeplattformen geteilt; OpenRTB ist ein System, über das Unternehmer Werbeflächen im Internet in Echtzeit handeln. Basierend auf den in der TC-String-Kette enthaltenen Informationen und einer über das OpenRTB-Protokoll durchgeführten Transaktion wird dann dem Nutzer, dessen Daten in der jeweiligen TC-String-Kette verschlüsselt sind, eine bestimmte Werbung angezeigt (oder nicht).

Gerade im Zusammenhang mit dem Betrieb von der TC-String-Kette geriet die IAB Europe-Vereinigung unter die Kontrolle der belgischen Datenschutzbehörde, die der IAB Europe eine Reihe von Korrekturmaßnahmen auferlegte. IAB Europe legte gegen die Entscheidung der Behörde eine Berufung ein und im Gerichtsverfahren stellte sich die Frage, ob TC-Strings als personenbezogene Daten und die IAB Europe als Verantwortliche dieser Daten angesehen werden können.

EuGH-Bewertung – personenbezogene Daten

• IAB Europe argumentierte in der Vorabentscheidung, dass es sich bei den TC-Strings nicht
  um personenbezogene Daten handeln könne, da es sich lediglich um eine technische Lösung handele. Sie selbst enthält keine Daten, die eine direkte Identifizierung der betroffenen Person ermöglichen
• Der EuGH entschied, dass es sich bei den TC-Strings um personenbezogene Daten handelt, da durch Kombination mit anderen Daten oder einem Identifikator (z.B. der IP-Adresse des Nutzers) die Identifizierung der betroffenen Person erfolgen kann
• Die Tatsache, dass die IAB Europe selbst nicht über die betreffenden anderen Daten oder Identifikatoren verfügte, wurde vom EuGH als irrelevant angesehen.

EuGH-Bewertung – Verwaltung personenbezogener Daten

• IAB Europe war der Ansicht, dass sie kein Verantwortlicher für personenbezogene Daten sei, da sie ihren Mitgliedern lediglich eine technische Lösung und Regeln für deren Umsetzung zur Verfügung stelle.
• Der EuGH entschied, dass die IAB Europe ein gemeinsamer Verantwortlicher für personenbezogene Daten ist, mit der Begründung, dass sie für ihre eigenen Zwecke Einfluss auf die Verarbeitung personenbezogener Daten ausübte und gemeinsam mit ihren Mitgliedern die den Verarbeitungen personenbezogener Daten zugrunde liegenden Mittel festlegte.

Praktische Auswirkungen

Hochaktuelle praktische Auswirkungen sind für die Mitgliedsunternehmen der IAB Europe zu erwarten. Das Urteil hat jedoch erhebliche Auswirkungen, die auch über die Aktivitäten von der IAB Europe und über den Bereich des Online-Marketings hinausgehen.

Angesichts der Tatsache, dass es sich bei den personenbezogenen Daten laut EuGH auch um Daten handelt, die für sich genommen keine Identifizierung des Subjekts/der betroffenen Person ermöglichen, aber im Zusammenhang mit anderen Daten eine Identifizierung ermöglichen könnten, ist es wichtig, dass jeder Datenverantwortliche und -verarbeiter intern bewertet (i), ob solche Daten seinerseits verarbeitet werden, und (ii) ob sie rechtmäßig verarbeitet werden.

Nach einer internen Untersuchung kann es erforderlich sein:

1. Angemessene Aktualisierung von Aufzeichnungen der Verarbeitungstätigkeiten, insbesondere betr.

• Kategorien der verarbeiteten personenbezogenen Daten;
• Kategorien von Empfängern personenbezogener Daten;
• Sicherung personenbezogener Daten.

Belehrung der für die Erledigung der Rechte der betroffenen Person verantwortlichen Personen darüber, welche Daten Gegenstand der Ausübung der Rechte der betroffenen Person lt. GDPR sein können.

2. Aufforderung der Geschäftspartner, die über entsprechende - die Identifizierung der betroffenen Person ermöglichende - Daten verfügen, eine Vereinbarung über gemeinsame Verantwortliche auszuarbeiten.

Das Expertenteam von GT Legal unterstützt Sie gerne bei der Aktualisierung der GDPR-Dokumentation.